Guia Conformidade Cibersegurança

NIS2 versus ISO 27001: você precisa dos dois e por onde começa?

NIS2 é lei da UE. ISO 27001 é uma norma voluntária. Os dois chegam à mesa do mesmo responsável por conformidade, frequentemente no mesmo mês. Entender a relação entre eles permite construir um sistema coerente que satisfaça os dois, em vez de executar dois programas paralelos.

2 de junho de 2026
8 min de leitura
Principais destaques
  • NIS2 é lei obrigatória da UE. ISO 27001 é uma norma internacional voluntária. São instrumentos diferentes com finalidades diferentes.
  • ISO 27001 cobre todas as 10 medidas de segurança do artigo 21 da NIS2, tornando-o um meio eficaz para conformidade NIS2
  • Uma organização certificada pela ISO 27001 ainda tem lacunas específicas da NIS2: prazos de notificação de incidentes, responsabilidade da gestão e obrigações de registro
  • Se você está começando do zero, uma análise de lacunas é o primeiro passo correto, não escolher um framework e adiar o outro
  • O caminho mais eficiente é construir um único programa integrado em vez de dois projetos de conformidade separados

Dois frameworks, uma caixa de entrada

Responsáveis por conformidade em empresas europeias de médio e grande porte estão respondendo perguntas sobre NIS2 e ISO 27001 ao mesmo tempo. É fácil entender por que as equipes confundem os dois: ambos tratam de cibersegurança, ambos exigem avaliações de risco e controles documentados, e ambos levam a auditorias. Mas são instrumentos fundamentalmente diferentes, e tratá-los como intercambiáveis deixa lacunas reais de conformidade.

NIS2 (Diretiva 2022/2555) é legislação da UE. Se sua organização opera em um dos 18 setores críticos e atende ao limite de tamanho, você está em escopo e deve cumpri-la. Não há saída. O descumprimento é aplicável pelas autoridades nacionais e acarreta multas de até €10 milhões ou 2% do faturamento anual global para entidades essenciais. A NIS2 está em vigor desde outubro de 2024.

ISO/IEC 27001:2022 é uma norma internacional para sistemas de gestão de segurança da informação (SGSI). A certificação é voluntária. Qualquer organização pode buscá-la, em qualquer setor, de qualquer tamanho. A norma não diz exatamente quais controles de segurança implementar; ela pede que você construa um sistema de gestão baseado em risco que identifique ameaças sistematicamente, selecione controles proporcionais e melhore continuamente. Organismos de certificação terceirizados avaliam você em relação à norma e emitem um certificado.

160.000
entidades em escopo para NIS2 em toda a UE, em 18 setores
93
controles na ISO 27001:2022 Anexo A, em 4 domínios de controle
10
medidas de segurança obrigatórias sob NIS2 Artigo 21

Onde se sobrepõem

O Artigo 21 da NIS2 especifica 10 medidas de segurança obrigatórias. O Anexo A da ISO 27001 contém 93 controles em quatro domínios. Todas as 10 medidas da NIS2 correspondem a áreas de controle da ISO 27001:

Análise de riscos e políticas de segurança
Cobertura total A Cláusula 6.1 da ISO 27001 exige avaliação formal de riscos; o Anexo A.5 cobre políticas de segurança da informação em detalhes.
Tratamento de incidentes
Cobertura total Os controles A.5.24 a 5.28 do Anexo A tratam da gestão de incidentes, incluindo detecção, classificação, resposta e lições aprendidas.
Continuidade de negócios, backup e recuperação de desastres
Cobertura total O Anexo A.5.29 (prontidão de ICT para continuidade de negócios) e A.8.13 (backup de informações) cobrem backups testados e planejamento de recuperação.
Segurança da cadeia de fornecimento
Cobertura total Os controles A.5.19 a 5.23 do Anexo A exigem avaliação da segurança de fornecedores, obrigações contratuais e monitoramento contínuo do risco de terceiros.
Segurança na aquisição e desenvolvimento de sistemas
Cobertura total Os controles A.8.25 a 8.34 do Anexo A tratam de práticas de desenvolvimento seguro, divulgação de vulnerabilidades e gestão de patches.
Políticas para avaliar eficácia
Cobertura total A Cláusula 9.2 da ISO 27001 exige auditorias internas; os controles A.5.35 e 5.36 do Anexo A exigem revisão independente e avaliação de conformidade de políticas.
Higiene cibernética e treinamento
Cobertura total O controle A.6.3 (conscientização) e A.8.8 (gestão de vulnerabilidades) cobrem diretamente o treinamento de colaboradores e controles básicos de higiene.
Criptografia e cifragem
Cobertura total O controle A.8.24 do Anexo A exige políticas de criptografia documentadas cobrindo dados em repouso, em trânsito e gestão de chaves.
Segurança de RH, controle de acesso e gestão de ativos
Cobertura total O Anexo A.6 (controles de pessoal) e A.8.1 a 8.12 cobrem integração, desligamento, acesso com menor privilégio e inventário de ativos.
MFA e comunicações seguras
Parcial O controle A.8.5 do Anexo A cobre gestão de acesso privilegiado e A.8.20 segurança de rede, mas o MFA não é exigido tão explicitamente quanto na NIS2.

Uma organização com um SGSI ISO 27001 maduro e bem documentado terá controles implementados para nove dos dez requisitos do Artigo 21 da NIS2. O décimo (MFA) precisa apenas de um complemento pontual. A ISO 27001 é o veículo mais eficiente para construir controles de segurança conformes com a NIS2.

Onde divergem

A sobreposição tem limites reais. A ISO 27001 foi concebida como uma norma de sistemas de gestão, não como um framework de conformidade regulatória, e a NIS2 vai além em três áreas.

Tópico
NIS2
ISO 27001
Obrigação legal
Obrigatória para entidades em escopo; o descumprimento é aplicável
Voluntária; não há obrigação legal de certificar
A quem se aplica
Médias e grandes organizações em 18 setores definidos na UE
Qualquer organização, qualquer setor, qualquer tamanho, em qualquer lugar
Notificação de incidentes
Obrigatória: alerta precoce em 24h, notificação em 72h, relatório final em 1 mês à autoridade nacional
Sem prazos de notificação externa; apenas gestão interna de incidentes
Responsabilidade da gestão
Artigo 20: membros do conselho pessoalmente responsáveis; podem ser proibidos de exercer funções de gestão
Sem disposições de responsabilidade pessoal
Obrigação de registro
Entidades em escopo devem registrar-se junto à autoridade nacional competente
Sem requisito de registro
Órgão de auditoria/certificação
Autoridades supervisoras nacionais (NCSC e reguladores setoriais nos Países Baixos)
Organismo de certificação terceirizado credenciado (ex.: BSI, Bureau Veritas, DNV)
Especificidade dos controles
10 medidas prescritivas, incluindo requisito explícito de MFA
93 controles, seleção baseada em risco; nem todos se aplicam a todas as organizações
Multas por descumprimento
Até €10M ou 2% do faturamento global (entidades essenciais)
Perda da certificação; sem penalidades financeiras da própria norma

As três lacunas mais relevantes na prática são notificação de incidentes, responsabilidade da gestão e registro. A ISO 27001 não menciona a obrigação de notificar uma autoridade governamental em 24 horas após descobrir um incidente. Não menciona responsabilizar pessoalmente seu conselho pela governança de cibersegurança. E não exige que você se registre em um órgão nacional. Essas são obrigações específicas da NIS2 que um programa ISO 27001, por mais maduro que seja, não contempla.

Erro comum

Muitas organizações assumem que a certificação ISO 27001 equivale à conformidade NIS2. Não equivale. Os reguladores buscarão procedimentos documentados de notificação de incidentes, evidências de treinamento da gestão, medidas de risco de cibersegurança aprovadas pelo conselho e registro. Um certificado ISO 27001 isolado não satisfará uma auditoria nesses pontos.

Se você já tem certificação ISO 27001

Você está em boa posição, mas não terminou. Com base em onde a maioria das organizações certificadas se encontra, as lacunas restantes específicas da NIS2 geralmente se enquadram em quatro categorias:

  • Processo de notificação de incidentes. Seu plano de resposta a incidentes quase certamente não inclui a sequência de notificação em três etapas da NIS2. Você precisa adicionar uma etapa de notificação regulatória com responsáveis nomeados para o alerta precoce de 24 horas e testá-la em um exercício de tabletop.
  • Treinamento e documentação da gestão. O Artigo 20 da NIS2 exige treinamento em nível de conselho sobre identificação de riscos de cibersegurança e seu impacto nas operações. As atas do conselho e registros estruturados de treinamento precisam demonstrar isso de forma explícita.
  • Registro. Entidades em escopo devem registrar-se junto à autoridade nacional competente relevante. A ISO 27001 não orienta sobre essa etapa.
  • Implantação de MFA. O Anexo A da ISO 27001 trata da gestão de acesso privilegiado, mas não exige MFA tão explicitamente quanto o Artigo 21 da NIS2. Revise sua Declaração de Aplicabilidade e feche a lacuna se o MFA ainda não for um controle documentado.

Para uma organização certificada, fechar essas lacunas é um trabalho pontual, não um projeto de transformação. Uma avaliação de lacunas focada pode identificar exatamente o que está faltando e produzir um plano de remediação em poucas semanas.

Se você está começando do zero

Seu instinto pode ser escolher um framework, concluí-lo e depois tratar do outro. Essa sequência desperdiça esforço. A documentação, avaliações de risco, políticas e evidências de controles que você constrói para a NIS2 se aplicam diretamente à ISO 27001. Executá-los como projetos separados significa fazer o mesmo trabalho duas vezes.

Na prática

Adicionar a certificação ISO 27001 sobre um programa NIS2 bem estruturado exige aproximadamente 20 a 30% mais esforço. Executá-los como dois programas separados desde o início tipicamente dobra isso: você constrói as mesmas avaliações de risco, políticas e evidências de controles duas vezes.

Se você está em escopo para a NIS2, essa obrigação já está ativa. Comece por ela. Mas estruture seu programa NIS2 usando a abordagem de sistema de gestão da ISO 27001 desde o primeiro dia: escopo definido, avaliação formal de riscos, Declaração de Aplicabilidade mapeando seus controles e ciclo de melhoria documentado. Dessa forma, quando você estiver pronto para buscar a certificação ISO 27001, o organismo de certificação revisará um programa que já existe em forma madura, em vez de começar do zero.

Um programa ISO 27001 construído sem considerar a NIS2 deixa lacunas de conformidade que exigem retrabalho. Construir a NIS2 primeiro, com uma estrutura alinhada à ISO 27001 desde o início, evita isso.

Por onde começar: a análise de lacunas

O primeiro passo para qualquer organização, independentemente de ter controles existentes, certificações vigentes ou nada implementado, é uma análise de lacunas estruturada. Sem ela, você toma decisões baseadas em suposições sobre sua própria postura que raramente são precisas.

Uma boa análise de lacunas cobre três coisas:

  1. Confirmação do escopo. Você está em escopo para a NIS2? Em qual nível (essencial ou importante)? Você se registrou junto à autoridade nacional competente relevante? Isso nem sempre é óbvio, especialmente para grupos diversificados que operam em múltiplos setores.
  2. Mapeamento de controles. Onde seus controles, documentação e processos atuais se enquadram no Artigo 21 da NIS2 e no Anexo A da ISO 27001? Isso produz uma visão clara do que você tem, o que precisa ser formalizado e o que precisa ser construído do zero.
  3. Roteiro de remediação priorizado. Nem tudo precisa acontecer ao mesmo tempo. A análise de lacunas deve produzir uma lista de ações priorizada por risco, com prazos realistas e estimativas de recursos, que permite tomar decisões informadas sobre sequenciamento.

Com esse roteiro em mãos, você pode construir um único programa integrado que avance tanto para a conformidade NIS2 quanto para a certificação ISO 27001 em paralelo, sem duplicar esforço ou criar documentação conflitante.

Organizações que chegam a uma auditoria regulatória NIS2 com uma análise de lacunas concluída e um plano de remediação documentado estão em posição fundamentalmente diferente das que chegam sem um. Os reguladores buscam evidências de que a gestão levou as obrigações a sério. Um roteiro credível é exatamente isso.

Perguntas frequentes

NIS2 é o mesmo que ISO 27001?

Não. NIS2 é uma diretiva da UE, uma obrigação legal que se aplica automaticamente a organizações em escopo em 18 setores. ISO 27001 é uma norma internacional para sistemas de gestão de segurança da informação (SGSI) que qualquer organização pode seguir voluntariamente. A NIS2 diz o que você deve alcançar; a ISO 27001 fornece um sistema estruturado para alcançar e demonstrar isso.

A certificação ISO 27001 satisfaz a conformidade com a NIS2?

Não inteiramente, mas cobre a maior parte do terreno. A ISO 27001 se mapeia bem para todas as 10 medidas de segurança do Artigo 21. No entanto, a ISO 27001 não inclui o requisito específico de notificação de incidentes em 24 horas da NIS2, as disposições de responsabilidade pessoal da gestão ou as obrigações de registro setorial. Uma organização certificada pela ISO 27001 geralmente está 70 a 80% do caminho para a conformidade NIS2 e precisa de trabalho de lacuna direcionado para fechar a distância restante.

O que devemos fazer primeiro: NIS2 ou ISO 27001?

Se você está em escopo para a NIS2, essa obrigação já está ativa. Ela não pode esperar. O caminho mais eficiente para a maioria das organizações é buscar primeiro a conformidade NIS2, usando uma estrutura alinhada à ISO 27001 desde o início. Dessa forma, o trabalho que você faz para a NIS2 torna-se a base da sua certificação ISO 27001, em vez de executar dois programas paralelos.

As PMEs precisam se preocupar com a NIS2?

Organizações com menos de 50 funcionários e faturamento anual abaixo de €10 milhões geralmente estão isentas dos requisitos diretos da NIS2. No entanto, empresas maiores em escopo são obrigadas a avaliar e gerenciar a segurança de suas cadeias de fornecimento, o que significa que as PMEs que fornecem a essas empresas enfrentarão requisitos de segurança por meio de contratos, mesmo sem serem diretamente regulamentadas.

Quanto tempo leva a certificação ISO 27001?

A maioria das organizações de médio porte leva entre 9 e 18 meses para obter a certificação ISO 27001 pela primeira vez. O prazo depende da maturidade dos controles de segurança existentes, do escopo do SGSI e da rapidez com que sua equipe pode documentar processos e evidências. Uma consultoria experiente pode comprimir significativamente esse prazo, evitando armadilhas comuns e estruturando o programa de forma eficiente.

Workshop de Análise de Lacunas

Não sabe onde estão suas lacunas NIS2 ou ISO 27001?

Nosso workshop de análise de lacunas oferece uma visão clara e priorizada do que você tem, o que está faltando e o caminho mais rápido para conformidade.

Aviso legal: Este artigo tem fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não garante a precisão ou completude deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem buscar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita responsabilidade por qualquer perda decorrente da confiança neste conteúdo.